La AEPD se pronuncia sobre el tratamiento de datos biométricos conforme al RGPD

La Agencia Española de Protección de Datos (a continuación, AEPD) ha hecho públicas algunas de las principales preguntas y respuestas planteadas por los asistentes en la 10ª Sesión Anual Abierta de la institución, que tuvo lugar el pasado mes de junio.

Una de las materias que más duda y debate suscitó fue el concepto de dato biométrico y sus implicaciones en cuanto a su tratamiento.

La normativa española anterior al Reglamento General de Protección de Datos (en adelante, RGPD), la Ley Orgánica de Protección de Datos (en adelante, LOPD), aún vigente, no recogía una definición concreta de “”, sino que éste se incluía en el concepto general de dato personal y su procesamiento se subsumía en los requisitos comunes dictados tanto en el texto legal como por la correspondiente entidad de supervisión y Tribunales.

El RGPD otorga sin embargo a este dato un tratamiento diferenciado, pues recoge una definición y categorización expresa de dicho concepto. Así, el artículo 4 (14) RGPD concibe “datos biométricos” como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Asimismo, en virtud del artículo 9 RGPD, se considera explícitamente una categoría especial de dato personal, lo que implica que su tratamiento queda prohibido salvo determinadas excepciones, como el consentimiento explícito.

A partir de dichas excepciones, surgieron algunas de las cuestiones planteadas en la mencionada Sesión Anual de la AEPD, como lo es el planteamiento de cómo debería configurarse el consentimiento explícito para el uso de tecnologías biométricas de reconocimiento facial en la entrada de establecimientos en el caso de que no aplique ninguna de las excepciones reguladas en el artículo 9 GDPR.

A este respecto, la AEPD confirmó la inclusión del tratamiento del rostro con software de reconocimiento facial en el concepto de dato biométrico, conforme al considerando 51 RGPD, y recordó en consecuencia la necesidad de tomar en cuenta los principios de minimización y licitud del tratamiento. Concretamente, consideró que dicha implementación podría ser plausible en el ámbito laboral, dado que se podría considerar como una medida de control por el empresario, la cual, sujeta al requisito de proporcionalidad, está admitida por el artículo 20 del Estatuto de los Trabajadores. Para el resto de los supuestos no existiría una habilitación similar, salvo en aquellos casos en los que dicho tratamiento se destinase a preservar la seguridad de determinadas instalaciones, como las estratégicas.

Se trató también dicha materia desde la perspectiva de la huella dactilar, respecto de lo que se preguntó sobre la necesidad de pedir consentimiento expreso en caso de aparatos fichadores en las empresas.

La AEPD alegó de nuevo el artículo 20 del Estatuto de los Trabajadores, que permite considerarlo como una medida de control que no necesita consentimiento del empleado; no obstante, matizó la aclaración y destacó la importancia del principio de minimización, por el cual la medida habrá de limitarse a los supuestos en que se considere realmente necesaria. De la misma forma, la AEPD reafirmó su postura en las últimas resoluciones en este ámbito, en las cuales se aboga por la implantación de buenas prácticas que permitan el control a través de la huella digital sin que el sistema tenga que almacenar el dato biométrico; por ejemplo, por su incorporación a una tarjeta inteligente que se contraste con la huella y se mantenga siempre en poder del trabajador. (Ver Resolución R/01410/2018). Cabe recordar en este punto que la AEPD ha mantenido también a este respecto un criterio por el cual se sitúa el principio de información como principal, de tal modo que tales sistemas de control requieren de la debida comunicación previa al trabajador (Ver Expediente N.º: E/02116/2016).

¿Necesitas ayuda con la adaptación al RGPD? Aphaia ofrece tanto servicios de consultoría y adaptación al RGPD como de subcontratación del Delegado de Protección de Datos.

GDPR parents' access

Acceso de los padres a datos de los hijos mayores de edad

La Agencia Española de Protección de Datos ha lanzado una reciente consulta en la que se analiza, bajo la perspectiva del Reglamento General de Protección de Datos (RGPD), la posibilidad de que los padres accedan a determinados datos de los hijos mayores de edad en concretas circunstancias

– Calificaciones, matrículas y becas de la Universidad;
– Desaparición del hijo;
– Hijo con problema de salud diagnosticado;

El primero de los puntos constituye la principal materia de debate en el informe, y se toma así
como referencia para desarrollar la argumentación completa y aplicarlo al resto de supuestos.
La información relativa a matrículas, calificaciones o becas se ajusta a la definición de dato
personal, así como la comunicación de los datos por parte de la Universidad a los padres
constituye un tratamiento de datos, de acuerdo al RGPD.

La falta de consentimiento del alumno para dicha cesión no impide que ésta tenga lugar, dado
que la normativa recoge otras bases legitimadoras, entre las que se encuentra “la satisfacción
de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre
que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en particular
cuando el interesado sea un niño” (Artículo 6. 1 (f) RGDP). Dicha previsión está redactada en
términos muy similares a la normativa anterior, con lo que la jurisprudencia sentada por el
Tribunal de Justicia en este sentido continúa siendo de aplicación.

Así, la AEPD menciona la sentencia STJUE 4 de mayo de 2017 (ECLI:EU:C:2017:336) y pone de
manifiesto el carácter acumulativo de los requisitos establecidos en el artículo 6 (f) arriba
mencionado, a saber: que el responsable del tratamiento o el tercero o terceros a quienes se
comuniquen los datos persigan un interés legítimo; que el tratamiento sea necesario para la
satisfacción de ese interés legítimo y que no prevalezcan los derechos y libertades
fundamentales del interesado en la protección de los datos.

En cuanto a la existencia de un interés legítimo, la AEPD aboga por considerar que siempre se
da en los casos en que los hijos sean dependientes económicamente de los padres y sean estos
los encargados de sufragar los gastos vinculados a dicha formación. El criterio de dependencia
económica sería así determinante también en otros supuestos como aquellos de pensión
alimenticia y similar, pero no operará en los escenarios de desaparición cuando existan indicios
de que ésta no es voluntaria.

El panorama así trazado se completa con la obligación para el responsable de dar a conocer al
interesado (en este caso, el hijo) el hecho de que sus datos han sido solicitados, a fin de que
pueda oponerse al tratamiento (artículo 21 RGPD) y se ponderen, si así procede, los derechos y
libertades de las partes confrontadas.

Aphaia ofrece subcontratación del delegado de protección de datos.

Aprobado un nuevo Real Decreto en protección de datos

Primeros pasos para la adaptación del Derecho nacional al Reglamento General de Protección de Datos

Tras la entrada en vigor del Reglamento General de Protección de Datos (a continuación, RGPD) en 2016 y su reciente aplicación desde el pasado mayo, se generó en España un vacío legal entre las disposiciones del texto legal que hasta el momento había regido la materia, la Ley Orgánica de Protección de Datos (a continuación, LOPD), y aquellas otras de la normativa europea, que introducía importantes novedades. Dado que la LOPD no ha sido derogada y el RGPD despliega efectos sin necesidad de incorporación específica en el Derecho nacional, surge una situación en la que conviven dos textos que regulan el ámbito de protección de datos pero que se contradicen en algunos puntos, de tal modo que el segundo desplaza al primero en tales aspectos.

En este contexto, el Consejo de Ministros ha aprobado un Real Decreto-ley (Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos) que procura esta adaptación a fin de adecuar el ordenamiento español, pero sólo a las disposiciones europeas que no admiten demora, con lo que se trata de una medida parcial y que tendrá vigencia sólo hasta el momento en el que las Cortes aprueben el proyecto de ley, que será el paso definitivo a fin de que la normativa interna se ajuste a la totalidad de los estándares fijados por la Unión Europea. Dicho proyecto se encuentra por el momento en fase de tramitación parlamentaria.

El objeto del mencionado Decreto-ley concierne únicamente a los siguientes elementos:
– Inspección. Se atiende a la necesidad de delimitar el modo en que podrán ejercerse dichos poderes, qué personas llevarán a cabo la actividad de investigación e inspección y en qué consistirán dichas atribuciones.

– Régimen sancionador. Reemplaza los tipos infractores de la LOPD, se definen los sujetos que pudieran incurrir en la responsabilidad y se determinan los plazos de prescripción de las infracciones y sanciones. Se asume así el régimen sancionador del RGPD. Se establece lo siguiente:
o Sujetos responsables: responsables, encargados, representantes en la Unión Europea, entidades de certificación y entidades de supervisión de los códigos de conducta; los delegados de protección de datos no serán considerados responsables a estos efectos.
o Aquellas infracciones sancionadas con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (art. 83.5 y 83.6 RGPD) prescribirán a los tres años, mientras que las infracciones sancionadas con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, prescribirán a los dos años.
o Los plazos de prescripción de las sanciones son los siguientes:
• Sanciones por importe igual o inferior a 40.000 euros: un año.
• Sanciones por importe comprendido entre 40.001 y 300.000: dos años.
• Sanciones por un importe superior a 300.000 euros; tres años.

– Procedimiento de instrucción. Comprende principalmente la forma de iniciación del procedimiento y su duración, las condiciones de admisión a trámite de las reclamaciones, la determinación del alcance territorial y las medidas provisionales. La falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 RGPD deberá resolverse en seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite; si no hay contestación se entiende estimado, por aplicación del silencio positivo. Por otro lado, cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y la normativa española de protección de datos, la duración será de nueve meses.

El Decreto-ley deroga en consecuencia el artículo 40 LOPD (“potestad de inspección”) y el Título III del mismo cuerpo normativo (Infracciones y sanciones), a excepción del artículo 46 (“Infracciones de las Administraciones públicas”).

Aphaia ofrece subcontratación del delegado de protección de datos.

Zoe Wong de Depop y cómo afecta la privacidad a su empresa

Como parte de nuestras entrevistas con clientes, en esta ocasión Zoe Wong, directora de finanzas y operaciones de Depop nos habla sobre la comunidad de usuarios de su plataforma y cómo ha evolucionado la percepción de estos en relación con la privacidad.

1. ¿Por qué Depop es único? Visto desde fuera podría parecer como una mezcla de Instagram y eBay, ¿es así? 

Depop acoge una comunidad de jóvenes creadores, con lo que los productos que se pueden encontrar en la página son normalmente piezas únicas vendidas por personas únicas que tienen su propia historia. Depop no es sólo un lugar donde comprar y vender moda, sino que se ha convertido es una plataforma que impulsa y ofrece una alternativa a los jóvenes para iniciar su propio camino – de hecho, muchos de ellos ahora son vendedores a tiempo completo en Depop, tras haber comenzado su propio negocio. La plataforma está enfocada a la creatividad, lo que implica que es una experiencia que va más allá de la venta; el componente social permite a los usuarios conectar con personas similares que comparten los mismos intereses e inquietudes.

2. La parte de vuestros clientes target que han crecido con las redes sociales puede estar menos concienciada sobre la privacidad en internet que generaciones anteriores. ¿Esto es realmente así o ellos perciben la privacidad de manera distinta?

Yo creo que nuestros usuarios están bastante concienciados, pero tienen una percepción muy distinta sobre la privacidad online. Antiguamente la sociedad estaba más preocupada sobre la seguridad de la identidad online, pero en la era de las redes sociales hay menos miedo a publicar detalles en un perfil público; sin embargo, se tiene más información y cuidado sobre cómo se usan los datos y si son objeto de venta. La gente conoce sus derechos y exige a las empresas que los garanticen- Me parece fascinante esta evolución que está cambiando cómo percibimos la transparencia y la responsabilidad social.

En Aphaia estamos orgullosos de contar con Depop como clientes de auditoría para el RGPD y DPO. Si necesitas ayuda con el RGPD, en Aphaia proporcionamos servicios de Consultoría para la adaptación al RGPD y Subcontratación del Delegado de Protección de Datos.